Múltiples vulnerabilidades en Arcserve UDP
- Arcserve UDP, versiones 9.2 y 8.1.
Arcserve ha reportado 3 vulnerabilidades: una de severidad crítica y dos altas, cuya explotación podría permitir a un atacante omitir los mecanismos de autenticación, subir archivos a través de rutas confiables o llevar a cabo una denegación del servicio.
Arcserve recomienda aplicar el parche correspondiente para cada versión afectada:
- Para Arcserve UDP 8.1, el parche P00003059 puede encontrarse aquí: https://support.arcserve.com/s/article/P00003059.
- Para Arcserve UDP 9.2, el parche P00003050 puede encontrarse aquí: https://support.arcserve.com/s/article/P00003050.
Vulnerabilidad de omisión de autenticación en Arcserve Unified Data Protection (UDP) 9.2. Cuando se pasa una contraseña NULL al método, se utiliza un UUID para la autenticación. Un atacante remoto no autenticado podría explotar esta vulnerabilidad enviando un mensaje POST HTTP sin el parámetro de contraseña al endpoint /management/wizardLogin. Una vez autenticado, el atacante podría realizar tareas de la consola UDP que requieren autenticación. Se ha asignado el identificador CVE-2024-0799 para esta vulnerabilidad de severidad crítica.
Para las vulnerabilidades de severidad alta, se han asignado los identificadores CVE-2024-0800 y CVE-2024-0801.
